보안장비 모음 한줄평 DLP DRM EDR EPP ESM SIEM

보안장비에는 다양한 솔루션들이 있습니다. 사용자의 Endpoint 단에서 네트워크까지 다양한 형태로 존재하는데요, 정보보안 솔루션에는 어떤 것들이 있는지 한 줄평으로 나타내 보도록 하겠습니다.

방화벽, 네트워크, 차단 솔루션에서는 Drop과 Reject 개념이 있습니다. 미리 알고 계시면 좋을 것 같습니다.

drop 그냥버린다

reject 버리게 되면 동시에 메시지를 남긴다

둘의 차이점은 거부에 대하여 메시지를 전송해 주냐 안해주냐의 차이가 있습니다.

 

TCP의 경우 연결 지향으로 RST Flag를 이용해 Reject 시킵니다.

UDP의 경우 비연결 지향으로 ICMP 응답을 사용합니다. 응답을 중지 시킬 수 있습니다.

 

보안 솔루션

NAC(Network Access Control) 목표 : 네트워크 액세스 제어, 최소한의 사용자만 네트워크에 접근가능하게 지정함

DLP(Data Loss Prevention) : 내부 정보가 외부로 유출되기전에 막는다, 데이터 이동 경로를 감시하며 유출 감지 시 차단 또는 알림

 

DRM(Digitak Rights Management) : 유출되었을때 더이상의 확산을 막는다 , cd키 등으로 볼 수 있고 현업에서는 문서 암호화로 인가된 사용자만 보호된 문서를 컨트롤, DLP와 뗄 수 없는 관계, 업체가 다르더라도 협력하는 케이스가 많음

EDR(Endpoint Detection and Response) : 최근들어 핫한 솔루션, 클라우드때매 핫함, 정밀분석가능, 딜레이가 조금있음, 지속적인 모니터링을 통한 위협 탐지 및 분석 대응이기 때문에 보안에는 최적, 다양한 보안 솔루션과의 유기적인 연계가 관점이며 성능 최적화도 필수  

EPP(Endpoint Protection Platform) : 파일기반의 악성코드를 탐지하고 방지 (즉각조치)

 

 

 

NPB(Network Packet Broker) : 스위치나 탭 같은 네트워크 장비에서 Span 포트에서 오는 다양한 데이터를 필터링 하여 모니터링 장비로 전송 역할, 솔루션들이 bandwidth 부하로 고대역폭 데이터를 처리할 수 없을 때 패킷로스 발생을 줄이기 위해 input packet filtering을 위해 도입

UTM(Unified Threat Management) : 통합위협관리 솔루션, 오늘날의 차세대 방화벽, 바이러스 및 악성코드 차단, 스팸메일 차단, 콘텐츠 웹 필터링 같은 기능을 수행

ESM(Enterprise Security Management) : 통합 보안관리 솔루션, 방화벽, IPS, IDS 같은 침입 탐지 방지 시스템 등 보안 시스템의 로그들을 모아 관리할 수 있는 시스템, 정보 수집, 정보 분석, 관리 기능, 모니터링 같은 역할을 수행

ESM의 발전 형태인
SIEM(Security information and event management) : 지능형 위협에 대한 모니터링 역할, 클라우드 보호, 컴플라이언스 관리, 네트워크 장비, 서버, 시스템 소프트웨어 등 실시간 로그 데이터를 종합해 패턴을 식별하고 이상 징후 탐지, 잠재 위협 탐지, 사고 대응 등의 역할